Was ist ein SaaS Payment Vault?

Ein SaaS-Zahlungstresor ist im Wesentlichen ein Cloud-Speichersystem, in dem tokenisierte Zahlungskartendaten erfasst, verschlüsselt und verwaltet werden. Ein Token, eine nicht-sensible Referenz, wird in Ihrem System gespeichert, während der Tresor die echte Primary Account Number (PAN) in einer hochsicheren, kontrollierten und auditierten Umgebung aufbewahrt.

Dies ist relevant, da Kartendaten fortlaufend mit Risikofaktoren in Verbindung gebracht werden. Der PCI DSS-Umfang umfasst alle Systeme, die mit einer ungeschützten PAN in Kontakt kommen. Die exklusive Datenspeicherung im Vault steht im Zusammenhang mit dem erforderlichen Compliance-Niveau und kann mit der Häufigkeit von Sicherheitsverletzungen korrelieren.

Der vielleicht wichtigste Aspekt eines neutralen Payment Vault ist die Portabilität der Kartendaten, was bedeutet, dass Sie, sobald Sie die Karteninformationen tokenisiert haben, die Tokenisierung von einem Zahlungsabwickler zum anderen wechseln können, ohne die Kunden bitten zu müssen, ihre Kartendaten erneut einzugeben. Ohne einen Vault sind Token typischerweise gültig und gehören einem einzigen Zahlungsdienstleister (PSP). Die Gültigkeit der aktuellen Token ist an den Abwickler gebunden; daher kann eine Änderung die erneute Anmeldung der Kunden beeinträchtigen. Diese Abhängigkeit, der „Processor Lock-in“, kann Ihrem bestehenden PSP bei Verhandlungen einen Vorteil verschaffen.

Ein neutraler Tresor verhindert eine solche Abhängigkeit. Unabhängig vom für Transaktionen ausgewählten Prozessor entsperren die Token konsistent dieselbe zugrunde liegende PAN, was potenziell die Berücksichtigung von Faktoren wie Kosten, Genehmigungsrate oder Standort ermöglicht.

Es gibt vier Haupt-Tresorarchitekturen, jede mit unterschiedlichen Kompromissen:

•       PSP-eigener Tresor — Der Prozessor verwaltet den Tresor. Einfach einzurichten, erzeugt aber einen Lock-in-Effekt; die Portabilität ist begrenzt oder nicht existent.
•       Neutral / Netzwerk-Vault — Eine unabhängige dritte Partei speichert PANs und stellt prozessorunabhängige Tokens aus. Die Funktionen umfassen Portabilität und werden von Enterprise-Händlern und Abonnementdiensten implementiert.
•       Vault-As-A-Service (VSaaS) — Ein SaaS-Modell, bei dem ein spezialisierter Anbieter den Vault als eigenständige API-Schicht bereitstellt. Flexible Integration kann gleichzeitig mit Multi-Prozessor-Routing implementiert werden.
•       On-Premises-Vault — Der Händler unterhält seine eigene Vault-Infrastruktur, was vollständige Kontrolle bietet, aber erhebliche PCI-Investitionen und fortlaufende Betriebskosten erforderlich macht.

VSaaS, oder ein neutraler Vault, kann für viele SaaS-Unternehmen einen möglichen Ansatz darstellen, wobei das Gleichgewicht zwischen Kontrolle und Compliance-Effizienz potenziell beeinflusst wird.

Sobald Sie die Kartendaten des Karteninhabers vaulten, geben Sie diese niemals an Anwendungsserver, Datenbanken oder Protokolle usw. weiter. Dies führt normalerweise zu einer Reduzierung des PCI-Umfangs um 80–90 %. Anstatt eines vollständigen Vor-Ort-Audits der Stufe 1, das viele Systeme abdeckt, kann ein Merchant, der Daten vaultet, für eine einfachere SAQ A- oder SAQ A-EP-Bewertung in Frage kommen, die nur die Tokenisierungs-Kontaktpunkte abdeckt.

Im Compliance-Sektor übernehmen Vault-Unternehmen oft anspruchsvolle Aufgaben, darunter die Aufrechterhaltung einer sicheren Umgebung, das Durchlaufen von PCI DSS-Audits und die Bereitstellung von Compliance-Dokumentation. Ihre Compliance-Haltung kann als Grundlage dienen und die für den Aufbau Ihrer eigenen benötigten Ressourcen beeinflussen.

Es ist am effektivsten, einen Vault im Zentrum Ihres Stacks für wiederkehrende Zahlungen zu platzieren:

•       Abrechnungssystem — Eine Abrechnungs-Engine übermittelt die Zahlungsanfrage mittels eines Tokens. Der Vault wandelt den Token in eine PAN um und übergibt ihn erst dann an den Prozessor. Das Abrechnungssystem ist so konzipiert, dass direkter Zugriff auf Kartendaten vermieden wird.
•       Account Updater – Kartennetzwerke (Visa, Mastercard) setzen Account Updater-Dienste ein, die neue Kartennummern und Ablaufdaten liefern, wenn Karten neu ausgestellt werden. Ein gut integrierter Datentresor kann Tokens mit aktualisierten Zugangsdaten erneuern, was sich auf die Kundenabwanderung (in Bezug auf unfreiwillige Faktoren) auswirkt.

Die Integration dieser Funktionen etabliert ein System, in dem Tokens verarbeitet, Zahlungen ausgeführt und Karteninformationen automatisch aktualisiert werden.

Einige Fragen, die es zu beachten gilt:

•       Gibt es in Ihrem aktuellen Geschäftsbetrieb einen Zusammenhang zwischen Kundenabwanderung und unverschuldeten Ereignissen wie dem Ablauf oder der Neuausstellung von Karten?
•       Könnte die Nutzung eines einzigen Zahlungsabwicklers Herausforderungen bei der Konditionsverhandlung oder der Umleitung des Zahlungsflusses mit sich bringen?
•       Erweitert sich Ihr PCI-Compliance-Umfang, wenn Sie Systeme hinzufügen, die Kartendaten verarbeiten?

In solchen Fällen könnte die Nutzung eines Vaults Auswirkungen haben auf ROI, wie folgt detailliert:

•       Reduzierung PCI Geltungsbereich — Wenn weniger Systeme in den Geltungsbereich von PCI fallen, führt dies neben anderen Vorteilen zu geringeren Prüfungsaufwendungen, weniger Korrekturzyklen und einer begrenzten Haftung bei Sicherheitsverletzungen.
•       Autorisierungsrate — Der Einsatz von Kontenaktualisierung sowie die Berücksichtigung von Wiederholungslogik führt typischerweise zu einer Erhöhung der Autorisierungsrate (von etwa 2–5 Prozentpunkten), ein Unterschied, der im großen Maßstab relevant sein kann.
•       Prozessor-Portabilität — Das Ändern der Konditionen mit dem derzeitigen Zahlungsabwickler oder die Weiterleitung bestimmter BINs an Kartennetzwerke, die höhere Autorisierungsraten bieten, ist wünschenswert.
•       Senkung Abwanderung – Rechtzeitige Änderungen der Zahlungsdaten können Fehler bei „Karte abgelehnt“ reduzieren, die sich möglicherweise auswirken auf Abonnementkündigung gesenkt werden.
•       Markterweiterung — Marktexpansion verbunden mit der Anbindung des Payment-Vaults an mehrere Zahlungsdienstleister, was möglicherweise die Hinzufügung von ermöglicht lokale Acquirer ohne eine vollständige Neugestaltung des Zahlungsstacks.